Tiếp theo thành công của chương trình trao thưởng tiền mặt cho những người phát hiện ra các lỗ hổng ảo mật trên trình duyệt Chrome, Google vừa mới thông báo sẽ trả tiền cho các lỗi bảo mật được tìm thấy trên các trang web của hãng.
Google gọi đây là một chương trình thử nghiệm, nhưng nó sẽ giúp tạo động lực để những nhà nghiên cứu bảo mật gửi các báo cáo lỗi trực tiếp tới nhóm bảo mật của Google. Hãng hi vọng chương trình sẽ thu hút được sự tham gia đông đảo của nhiều nhà nghiên cứu và những báo cáo về bảo mật này sẽ giúp làm cho người dùng các dịch vụ web của Google được an toàn hơn.
Ý tưởng này sẽ cho phép Google có được cơ hội sửa những lỗ hổng trước khi có thể bị những kẻ xấu lợi dụng. Chính vì vậy những nhà nghiên cứu bảo mật phải gửi riêng những lỗ hổng được phát hiện cho Google trước khi công bố. Đổi lại họ sẽ nhận được giải thưởng bằng tiền mặt từ 500 đến 3133,70 đô la Mĩ, tùy thuộc vào mức độ nghiêm trọng của lỗi được phát hiện.
Google đã từng trao gần 50 giải thưởng tương tự như vậy cho các lỗi của Chrome từ khi chương trình treo thưởng bắt đầu vào tháng 1 năm ngoái. Tuy nhiên Google không trả tiền cho những lỗ hổng được phát hiện trên các sản phẩm khác của hãng. Ví dụ như không hề có giải thưởng nào cho việc tìm ra lỗi trên Android, Picasa hay Google Desktop.
Để tìm kiếm lỗi liên quan đến web người dùng phải tiến hành các thử nghiệm với máy chủ của Google, khác với việc tìm lỗi trên phần mềm, người dùng sẽ tải về và thử nghiệm trên máy cá nhân. Chính vì vậy trong quá trình tìm lỗi người dùng sẽ có nguy cơ vi phạm pháp luật hoặc thậm chí có thể làm gián đoạn các dịch vụ của Google.
Để tránh điều này xảy ra, Google đã cung cấp một vài hướng dẫn về những gì thuộc và không thuộc chương trình này. Theo đó hãng sẽ không trả tiền cho các lỗi về từ chối dịch vụ, bởi nó có thể làm sập hệ thống web của Google, hay các lỗi liên quan đến hạ tầng của công ty.
Ngoài ra các thủ thuật tối ưu trong tìm kiếm, những lỗi được phát hiện trong những trang web mang thương hiệu Google nhưng đang được lưu trữ ở nơi khác hoặc ở những trang web mới được Google mua lại, cũng không được tính.
Bên cạnh đó hãng cũng khuyên người dùng không nên sử dụng các công cụ tự động để tìm các lỗ hổng, chỉ nên sử dụng tài khoản của mình hoặc tài khoản test để thử nghiệm và đừng bao giờ nên cố gắng truy cập dữ liệu của người khác. Đồng thời người dùng cũng không được tiến hành các hoạt động “dội bom” các dịch vụ của Google với số lượng các truy vấn hoặc khối lượng dữ liệu lớn.
Theo PC World
Bình luận
re
Truoc day co 1 hacker khai thac duoc loi XSS tren google nhung tan cong sap may chu google thi ...